复杂网络环境实现嗅探的途径研究

2022-01-10 19:43蒋永丛王晋晋
科技信息·学术版 2022年1期
关键词:网络管理渗透

蒋永丛 王晋晋

摘要:作为一名网络人员,捕获和解析网络上在线传输数据的过程,可以更好地了解网络上正在发生的事情。在共享式网络环境下,将网卡设置为混杂模式,可以接收到全网数据。而复杂网络环境下,嗅探只能获得所在路径的流量。本文从网络管理和渗透测试两大视角,全面探索交换式网络、路由网络环境下实现嗅探的途径。

关键词:网络管理;渗透;嗅探

0 前言

在日常网络运维中,我们通过嗅探为我们提供该计算机或者网络所发送的数据的全拓扑、IP地址等信息,帮助我们实时了解网络状况,查找不安全和滥用网络的应用,及时处理各种网络故障。但在交换式网络等复杂网络由于冲突域的限制,嗅探难以进行。通过对相关协议分析,探索复杂网络环境下实现嗅探的各种途径,对网络管理和渗透测试从业人员有一定参考意义。

1 嗅探的原理及关键

当网卡设置为混杂模式后,网卡将接收所有的流量。安装嗅探工具后,将复制一份网卡收到的流量并提交给嗅探软件处理,所有流经本地计算机的数据包将被嗅探。由于嗅探器的隐蔽性好,只是被动接收数据,而不向外发送数据,所以在传输数据的过程中,难以觉察到有人监听。嗅探的关键一是网卡设置为混杂模式,接收所有流量,二是嗅探软件必须部署在流量必经之地。

2 网络管理视角下的嗅探途径

2.1增加相关硬件。

根據以太网工作原理,共享式以太网通信为广播方式,所有节点均能收到所有流量,根据此原理,可以在关键节点处增加集线器或分流器。

2.2启用端口镜像技术。

现在的园区网及企业网智能交换机均支持端口镜像技术。端口镜像技术可以将相关VLAN流量从被监听端口复制到监听端口。将监听主机部署到镜像端口上,将捕获所有目标端口流量。如果将端口镜像技术应用核心设备出口处,即可监听全网的对外流量,极大方便网络管理与流量分析。

3 渗透测试视角下的途径

渗透测试情况,我们无法随意增加硬件,也不能随便改变现有网络配置。所有需要另外寻找途径,诱导流量经过监听节点,经过分析整理,有如下途径:

3.1 基于ARP协议缺陷

ARP(Address Resolution Protocol)地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。ARP工作机制有如下特点:高速缓存机制、定时刷新机制、无条件接受ARP包机制。因为上述工作机制,ARP获取MAC地址过程中,ARP请求并不安全,因为这个协议是建立在局域网中主机相互信任的基础之上的。局域网中的主机可以自主发送ARP应答消息,其他的主机收到应答报文时,不会检测该报文的真实性,并将其直接记入本机ARP缓存中。因此攻击者就可以向目标主机发送伪ARP应答报文,从而篡改本地的MAC地址表,这就是所谓的ARP欺骗。ARP欺骗原理如图1所示:

攻击者PC2向网关发送一个应答包,包括受害者PC1的IP地址、攻击者的mac地址。同时,向受害者PC1发送一个应答包,包括网关的IP地址,攻击者的mac地址。这个时候,网关就会将缓存表里PC1的mac地址换成PC2的mac地址,而PC1就会将缓存表里网关的mac地址换成PC2的mac地址。所以,网关发送给PC1的消息全被PC2接收,主机PC1发送给网关的消息也全被主机PC2接收,PC2就成为PC1和网关通信的中间人。

网络中有很多ARP欺骗工具,这里以arpspoof为例。假设本机地址为172.16.51.130,要欺骗的主机为172.16.51.133,网关为172.16.51.251,所有对外通信要经过网关,现在要想嗅探172.16.51.133的流量,可以这样使用arpspoof -i eth0 -t 172.16.51.133 172.16.51.254。那么我们会发现,主机172.16.51.133会将172.16.51.130当做网关,从而把所有数据发送给主机130。这时在主机172.16.51.130安装wireshark等嗅探软件,即可实现嗅探受害者到网关的通信。

防范基于ARP嗅探的措施:

1)MAC地址绑定。由于ARP欺骗攻击是通过虚构IP地址和MAC地址欺骗目标主机,从而更改ARP缓存中的路由表进行攻击的,因此,只要将局域网中每一台计算机的IP地址与MAC地址绑定,就能有效地防御ARP欺骗攻击。

2)使用静态ARP缓存来绑定关系,如果需要更新ARP缓存表,使用手工进行更新,以保障黑客无法进行ARP欺骗攻击。

3)在确保ARP服务器不被攻击者所控制的情况下,使用ARP服务器来搜索自己的ARP转换表来响应其他客户端的ARP广播。

4)使用ARP防火墙等防护ARP欺骗的工具来进行ARP欺骗攻击的保护。

3.2基于DHCP协议的嗅探

在DHCP网络环境,实现嗅探需要两步,耗尽正常的地址,仿冒DHCP服务器。

第一步,将正常DHCP地址耗尽。攻击者持续大量地向DHCP服务器申请IP地址,直到耗尽DHCP服务器地址池的IP地址,使DHCP服务器无法再给正常的主机分配IP地址。

第二步,仿冒DHCP Server攻击。

由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。

当攻击者私自安装并运行DHCP Server程序后,可以将自己伪装成DHCP Server,这就是仿冒DHCP Server攻击。它的工作原理与正常的DHCP Server一模一样,所以当PC机接收到来自DHCP Server的DHCP报文时,无法区分是哪个DHCP Server发送过来的,如果PC机第一个接收到的是来自仿冒DHCP Server发送的DHCP报文,那么仿冒DHCP Server则会给PC机分配错误的IP地址参数,导致PC客户端无法访问网络或服务器。

在图2中,PC1正常从DHCP sever获取ip地址信息并联网。在渗透测试时,攻击者PC2可以使用yersinia发送DHCP DISCOVER包,快速耗尽DHCP server地址池。然后,攻击者PC2安装DHCP SEVER 软件包,仿冒DHCP Server,设置地址池,并将网关参数指向自己。如此一来,PC1到外网的流量都会流向dhcp服务器,开启wireshark即可捕获相关信息。

DHCP攻击的防御措施如下:

1)服务器端:设置信任端口

将DHCP服务器所在交换机的端口分为两种类型,信任端口(Trusted端口)和非信任端口(Untrusted端口),交换机所有端口默认都是Untrusted端口,我们将与合法DHCP Server 相连的端口配置为Trusted端口,这样交换机从Trusted端口接收到的DHCP 报文后,会正常转发,从而保证合法的DHCP Server能正常分配IP地址及其他网络参数;而其他从Untrusted端口接收到的DHCP Server 的报文,交换机会直接丢弃,不再转发,这样可以有效地阻止仿冒的DHCP Server 分配假的IP地址及其他网络参数。

2)服务器端:配置DHCP Snooping技术

在DHCP服务器所在交换机配置DHCP Snooping,防御DHCP耗尽攻击。对DHCP Request报文的源MAC地址与CHADDR的字段进行检查,如果一致则转发报文,如果不一致则丢弃报文。

同样,运行DHCP Snooping的交换机会侦听(Snooping)往来于用户与DHCP Server之间的信息,并从中收集用户的MAC地址(DHCP消息中的CHADDR字段中的值)、用户的IP地址(DHCP Server分配给相应的CHADDR的IP地址)、IP地址租用期等信息,将它们集中存放在DHCP Snooping 绑定表中,交换机会动态维护DHCP Snooping绑定表。交换机接收到ARP报文后,会检查它的源IP地址和源MAC地址,发现与DHCP Snooping绑定表中的条目不匹配,就丢弃该报文,这样可以有效地防止Spoofing IP/MAC攻击。

3.3 基于交换机mac洪泛攻击

交换机基于MAC地址去转发数据帧的,在转发过程中依靠对MAC地址的表的查询来确定正确的转发接口。为了完成数据的快速转发,该表具有自动学习机制,交换机会将学习到的MAC地址存储在该表里,但是CAM表的容量是有限的,只能储存不多的条目,并且MAC地址存在老化时间(一般为300s)。当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中,一旦在查询过程中无法找到相关目的MAC地址对应的条目,此数据帧将作为广播帧来处理,广播到所有接口。

MAC地址泛洪攻击正是利用这一特性,不断地生成不同的虚拟MAC地址发送给交换机,使得交换机进行大量学习,导致交换机MAC地址表缓存溢出,让其无法学习新的正确的MAC地址。如果这时交换机需要转发一个正常的数据帧,因为其CAM表已经被虚假MAC填满,所以交换机会广播数据帧到所有接口,攻击者利用这个机制就可以获取该正常数据帧的信息,达到MAC地址泛洪攻击的目的。

当攻击者PC 2利用攻击工具,如macof工具向交换机发送大量非法不同源MAC地址的数据帧时,如图3所示,交换机会把所有这些MAC地址记录到自己的CAM表中,当这些记录超过CAM的上限时,MAC地址泛洪的效果就达成了。之后交换机会对所有消息进行无定向广播,那么PC 1发送给PC 3的消息也会被PC 2所获取到,这时候PC 2就可以捕获消息数据进行非法操作。

MAC地址泛洪攻击的防御措施和具体配置如下:

1)设置交换机端口最大可通过的MAC地址数量

给交换机的每个端口限制MAC地址学习的最大数量,假如为50个,当一个端口学习的MAC数量超过这个限制数值时,将超出的MAC地址舍弃。

2)静态MAC地址写入

在交换机端口上做MAC地址绑定,指定只能是某些MAC地址学习或通过该端口。

3)对超过一定数量的MAC地址进行违背规则处理

3.4 基于ICMP协议的嗅探

ICMP重定向信息是路由器向主机提供实时的路由信息,当一个主机收到ICMP重定向信息时,它就会根据这个信息来 更新自己的路由表。由于缺乏必要的合法性检查,如果一个黑客想要被攻击的主机修改它的路由表,黑客就会发送 ICMP重定向信息给被攻击的主机,让该主机按照黑客的要求来修改路由表。

如图4所示,AR1和AR2在同一以太网段,PC1的默认同关配置为使用路由AR1的地址,

现在PC1要和PC3通信,主机PC1将数据包发进到路由器AR1,AR1经过查询路由表,下一跳为AR2,AR1将把收到的数据从同一个以太网接口上转发出去。根据路由工作原理,此时AR1将会向向主机PC1发送了一条ICMP重定向消息,告诉PC1下次发往PC3的消息,请发AR2转发。

通过这个思路,PC2可为攻击者伪装成路由器,使用netwox的第86号工具,向pc1发送虚假的ICMP路由重定向信息,控制报文的流向,攻击节点PC2可以开启路由转发,充当中间人,实现全程监听。PC1的ip地址192.168.1.10,PC1的ip地址192.168.1.20,AR1地址为192.168.1.1情况下,运行如下命令发送报文,让PC1的相应流量指向攻击者PC2。

netwox 86 -f “host 192.168.1.10”  -g  192.168.1.1  -i  192.168.1.254

ICMP路由重定向的防御思路。

在网关端可以关闭ICMP重定向(no ip redirects),使用变长子网掩码划分网段,使用使用网络控制列表(ACL)和代理过滤。

在主机端,使用防火墙等过滤掉ICMP报文,使用反间谍软件监控,也可以结合防ARP、IP欺骗等进行综合防御。

4 总结

嗅探是进行信息收集重要的方法,文章从管理者和攻击者两种视角,对复杂网络环境如何进行嗅探进行研究。复杂网络环境,基于相关协议的原理漏洞,借助于arp欺骗工具、dhcp资源耗尽工具、mac泛洪工具、netwox工具等工具,可以实现交換式网络环境、路由环境下的嗅探,与wireshark嗅探工具结合使用,经过搭建模拟场景测试,能获取第三方敏感信息,实现嗅探。

参考文献:

[1]张蕾.网络攻击之嗅探攻击的原理及仿真实现[J].无线互联科技,2020,17(18):25-27.

[2]段晓东. 网络攻击之嗅探攻击的原理及仿真实现[J].  网络安全技术与应用. 2019(10)

[3]张传浩,谷学汇,孟彩霞.基于软件定义网络的反嗅探攻击方法[J].   计算机应用. 2018(11)

[4]翟溪林,张圆周,邓芙蓉,朱诗琳.网络嗅探技术在信息安全中的应用探究[J].

基金项目:河南省高等职业学校青年骨干教师培养项目(编号:2019GZGG023),洛阳市社会科学研究规划项目(编号:2021B244)河南省林业职业学院校内教育教学改革项目(编号:JG2021008)

猜你喜欢
网络管理渗透
新时期企业网络管理的现状及对策研究
网络管理技术的应用分析
职高体育教学中的“教学做合一”研究
语文教学中情感教育的渗透研究
浅谈语文课堂的情感教育渗透
网络管理技术的发展及应用
在印度佛教大会感受日本“渗透”
试论推动新一代网络管理技术发展的动因